Quais são os benefícios de um certificado autoassinado em um site ativo?

A criptografia não é uma propriedade do certificado ou de onde ele é assinado. O benefício que você obtém de um certificado assinado pela CA é que ele é confiado automaticamente pelos navegadores da Web (e por outros aplicativos com reconhecimento de SSL). Um certificado autoassinado exibirá um aviso de que o certificado não é confiável. Em navegadores mais recentes, como o FireFox 3, a ação padrão é recusar a exibição da página, e o usuário deve executar ações deliberadas para permitir o uso de um certificado autoassinado (ou expirado).

Se você puder conversar com todos que usarão a página da Web (se isso for apenas para sua família, por exemplo), isso não será um problema. Diga-lhes para esperarem que o aviso e como lidar com isso em seu navegador e é um problema de uma só vez.

No entanto, se for para qualquer uso que requeira algo que se aproxime da segurança real, você provavelmente desejará um certificado verdadeiro, assinado e não autoassinado.

Você obtém os mesmos benefícios de criptografia, mas todos os usuários que visualizam seu site receberão um aviso de que seu certificado não é confiável (ou de uma fonte não confiável). A vantagem de obter um dos principais fluxos de certificados é que eles já estão no navegador como confiáveis.

No IE 7, vá para Ferramentas, Opções da Internet, Conteúdo, Certificados, Autoridades de Certificação Raiz Confiáveis. Essas são todas as autoridades que o IE confia por padrão.

Confiança. Um certificado autoassinado fornece a mesma criptografia.

Mas confio em uma CA. Eu não confio em ti.

Então por que eu não deveria confiar em você? Porque não há garantia de que o nome no certificado ("Discount Bob's Hanggliding e BBQ Emporium") foi a pessoa que realmente criou o certificado. Eu poderia criar um certificado que dizia: "Discount Bob's Hanggliding e BBQ Emporium" e quando você for a ritter.vg ele diria "Discount Bob's Hanggliding e BBQ Emporium".

Mas quando peço a uma CA que assine o meu certificado que diz "Discount Bob's Hanggliding e BBQ Emporium", eles perguntarão "Claro, mostre-me algumas credenciais" e eu não tenho nenhum, então eles me dirão tirar do sério. Mas o desconto Bob real terá essas credenciais, a CA assinará. Então, quando você ver o certificado, assinado pela CA, você saberá que na verdade é Desconto Bob, porque se não fosse a CA não teria assinado.

O objetivo de um certificado assinado é verificar se a pessoa é realmente quem ele diz. Porque a CA disse que ele é, e eu confio na CA.

A encriptação não é diretamente relevante para um certificado - apenas é adicionado porque é bom ter e vai de mãos dadas.

Profissionais do certificado autoassinado:

• Gratuito
• Mesma tecnologia de criptografia que a CA assinou

Contras:

• O navegador exibirá algum tipo de aviso de segurança exigindo interação do usuário para visualizar o site. Isso pode ser suprimido pelo usuário escolhendo confiar no certificado.
• A confiança que você está implicando é contra o signatário do certificado. Cert certificado de qualquer pessoa pode habilitar conexões criptografadas SSL. A política de confiança protege os ataques do tipo man-in-the-middle. Ninguém pode emitir um certificado assinado, mas o CA veio e só para ser usado no servidor para o qual foi criado. Portanto, seu conteúdo não pode vir de outra fonte ou ser modificado em trânsito.

Cenário rápido: Se alguém configurar um ponto de acesso wi-fi desonesto em um cybercafé, é possível, de forma transparente, fazer proxy das atividades dos usuários vítimas e assisti-lo em um sniffer de rede. Normalmente, o SSL é criptografado e os dados não podem ser usados. No entanto, existem ferramentas para fazer proxy das solicitações HTTPS do usuário e inspecionar o conteúdo da vítima em trânsito. Isso tem um efeito colateral de fornecer ao usuário afetado um certificado não autêntico que normalmente não é confiável.

Se você entrar no site do seu banco e receber um aviso de segurança SSL, NÃO prossiga. Você pode ser um alvo.

Alguns podem reconhecer isso como o Abacaxi Hak5 .

Como você pediu especificamente os benefícios de um certificado autoassinado, suponho que os "benefícios" seriam baratos (ou seja, gratuitos) e mais rápidos de serem configurados inicialmente. Estes são obviamente superados pelos pontos negativos de todos os visitantes do seu site terem que adicionar uma exceção às políticas de segurança de seus navegadores para permitir que eles visualizem seu site.

Se você ainda não os ouviu, poderá encontrar alguns dos Podcasts de segurança agora do passado - O SSL é discutido em detalhes em vários episódios.

Você está confundindo a criptografia com a autenticação.

Qualquer certificado fornecerá criptografia.

Um certificado de CA também prova que a CA está confirmando que você é quem você diz ser.

Um certificado auto-assinado fornece criptografia, mas não autenticação.

O principal benefício é que você não precisa visitar um terceiro para lidar com a segurança do seu site. Você pode fazer isso sozinho. O problema é que é complicado acertar.

O navegador deles precisaria "confiar" no certificado autoassinado. Se você alterar o certificado no futuro, a mesma caixa de diálogo deverá aparecer. Algumas respostas explicam como fazer isso. Isso ainda é ruim , já que os usuários seriam mais suscetíveis a ataques, como o man-in-the-middle quando são treinados para aceitar certificados auto-assinados. Eu vi empresas onde isso é procedimento padrão! Muito ruim para esses usuários!

Idealmente, você teria um processo para instalar um certificado raiz personalizado em sua caixa antes de tentar acessar seu site. Esse certificado raiz, em seguida, emitirá o certificado do seu site. Dessa forma, o navegador deles confiaria no seu certificado autoassinado antes de se conectar ao seu site pela primeira vez, sem exibir um erro de confiança.